Vilken roll får Finansinspektionen?

Finansinspektionen (FI) är redan den primära tillsynsmyndigheten för cybersäkerhet i den svenska finanssektorn. Enligt FI:s tillsynsrapporter har myndigheten genomfört tematiska granskningar av cybersäkerhet hos banker och försäkringsbolag sedan 2018. NIS2 och DORA formaliserar och förstärker detta mandat.

FI:s befintliga krav

FI ställer redan idag krav genom sina föreskrifter om IT-verksamhet (FFFS 2014:5) och EBA:s riktlinjer för IKT- och säkerhetsriskhantering. Dessa krav överlappar delvis med NIS2 och DORA. Organisationer som redan följer FI:s föreskrifter har därför en god grund.

Men det finns luckor. FI:s nuvarande föreskrifter saknar exempelvis de strikta tidsramarna för incidentrapportering som NIS2 och DORA inför. De saknar också de specifika kraven på leveranskedjesäkerhet och hotbaserad penetrationstestning.

[PERSONAL EXPERIENCE]

Dubbel rapportering: kan den undvikas?

En praktisk utmaning är risken för dubbel rapportering. NIS2 kräver rapportering till CERT-SE/MSB. DORA kräver rapportering till FI. Ska samma incident rapporteras två gånger till olika myndigheter?

NIS2 adresserar detta i Artikel 4 genom lex specialis-principen. Om DORA:s rapporteringskrav är minst lika stränga som NIS2:s, gäller DORA ensamt. I praktiken förväntas FI och MSB samordna sig så att finansbolag rapporterar till FI, som sedan delar information med MSB/CERT-SE. Men den exakta mekanismen beror på den svenska implementeringen.

Vilka är de största utmaningarna för svenska banker?

Enligt Riksbankens rapport om finansiell stabilitet 2024 pekar banksektorn ut cyberrisker som det enskilt största operativa hotet. De praktiska utmaningarna med att uppfylla NIS2 och DORA varierar beroende på storlek och mognad.

[UNIQUE INSIGHT]

Storbankerna: komplexitet och global samordning

SEB, Handelsbanken, Nordea och Swedbank har internationell verksamhet och måste uppfylla NIS2/DORA i flera jurisdiktioner. Utmaningen ligger i att samordna ett globalt compliance-program där nationella implementeringar kan skilja sig åt. En bank med verksamhet i Sverige, Finland och Tyskland möter potentiellt tre olika tillsynsmyndigheters tolkningar.

Storbankerna har dock resurser och ofta redan mogna cybersäkerhetsprogram. För dem handlar NIS2/DORA mer om formalisering och dokumentation än om att bygga nya förmågor från grunden.

Mindre banker och fintechbolag: resursbrist

Nischbanker, sparbanker och fintechbolag möter en annan utmaning. Att bygga upp ett fullständigt NIS2/DORA-program kräver specialistkompetens och resurser som kan vara svåra att prioritera för en organisation med 60-100 anställda. Risken är att compliance blir en pappersprodukt utan verklig säkerhetseffekt.

Här kan samarbete vara nyckeln. Sparbankernas Riksförbund, BankID-konsortiet och andra branschsamarbeten kan tillhandahålla gemensamma resurser, mallar och kompetens.

Försäkringsbolag: underinvesterade i cybersäkerhet

Försäkringssektorn har historiskt legat efter banksektorn i cybersäkerhetsinvesteringar. Enligt EIOPA Financial Stability Report 2024 har 42 procent av europeiska försäkringsbolag inte genomfört en fullständig cybersäkerhetsbedömning under de senaste två åren. DORA:s krav kommer att tvinga till en upphämtning.

Hur bör finansbolag hantera tredjepartsrisker under NIS2 och DORA?

Tredjepartsriskhantering är ett centralt krav i båda regelverken. Enligt Bank of England förlitar sig 72 procent av globala finansinstitut på samma tre molntjänstleverantörer för kritisk infrastruktur. Koncentrationsrisken är reell och något som både NIS2 och DORA adresserar.

DORA:s krav på IKT-tredjepartsstyrning

DORA ställer detaljerade krav på avtalsinnehåll med IKT-leverantörer. Avtal ska innehålla:

• Tydlig beskrivning av tjänster och säkerhetsnivåer (SLA)
• Rätt till revision och inspektion
• Krav på incidentrapportering från leverantören
• Exit-strategier och dataportabilitet
• Krav på var data behandlas geografiskt

Finansbolag som redan har välstrukturerade leverantörsavtal enligt FI:s utkontrakteringsregler (FFFS 2014:5) har en bra startpunkt. Men DORA:s krav är mer detaljerade, särskilt kring exit-strategier och koncentrationsrisk.

Koncentrationsrisk

Om en bank, ett försäkringsbolag och en betalningsleverantör alla förlitar sig på samma molntjänstleverantör för sin kärnverksamhet, skapar det en systemisk risk. DORA kräver att finansbolag analyserar och hanterar denna koncentrationsrisk. Det kan innebära multicloud-strategier, backup-avtal med alternativa leverantörer eller krav på att kritiska funktioner kan köras on-premise vid behov.

Riskbedömning och compliance-tjänster

Vilka praktiska steg bör svenska finansbolag ta?

En samordnad approach som adresserar NIS2 och DORA parallellt är mest effektiv. Enligt FI förväntar sig tillsynsmyndigheten att finansbolag inte väntar med att påbörja sitt anpassningsarbete.

1. Kartlägg gapet

Jämför nuvarande compliance-nivå mot DORA:s krav (som är mer detaljerade). Där ni uppfyller DORA uppfyller ni sannolikt också NIS2. Identifiera luckor, särskilt kring incidentrapportering, TLPT och leveranskedjesäkerhet.

2. Uppdatera styrningsstrukturen

Säkerställ att styrelsen har tydligt definierat ansvar för cybersäkerhet. Dokumentera styrelsens godkännande av cybersäkerhetspolicyn. Inför regelbunden rapportering till styrelsen. DORA Artikel 5 kräver att ledningsorganet definierar, godkänner och övervakar IKT-riskhanteringen.

3. Inför incidentrapporteringsrutiner

Etablera rutiner som möter DORA:s tidsramar. Precis som NIS2 kräver DORA tidig rapportering: inom 4 timmar för den initiala klassificeringen och 24 timmar för den initiala rapporten. Utse ansvariga, skapa mallar, testa processerna.

4. Hantera tredjepartsrisker

Inventera alla IKT-leverantörer. Klassificera dem efter kritikalitet. Uppdatera avtal med DORA-kompatibla klausuler. Genomför riskbedömning av koncentrationsrisker.

5. Planera för TLPT

Systemviktiga institut bör planera för hotbaserad penetrationstestning. TIBER-SE, som administreras av Riksbanken, ger det svenska ramverket. Upphandla testleverantörer i god tid, då kapaciteten är begränsad.

[INTERNAL-LINK: Molnsäkerhet och compliance -> /sv/cloud-security-service/]

Vanliga frågor om NIS2 och den svenska finanssektorn

Behöver vi följa både NIS2 och DORA?

I teorin gäller båda, men DORA har företräde (lex specialis) där kraven överlappar. I praktiken innebär det att om ni uppfyller DORA uppfyller ni sannolikt NIS2:s krav inom samma områden. Fokusera på DORA som primärt ramverk och kontrollera att eventuella NIS2-specifika krav också är täckta.

Vad händer om vi inte uppfyller kraven?

Under NIS2 kan sanktionsavgifter för viktiga entiteter uppgå till 7 miljoner euro eller 1,4 procent av global omsättning. Under DORA kan FI utfärda förelägganden, sanktionsavgifter och i extremfall återkalla tillstånd. Ledningspersoner kan hållas personligt ansvariga enligt båda regelverken (EU 2022/2554, Artikel 5).

Påverkas betalningsleverantörer som Klarna och Swish?

Ja. Betalningsinstitut, e-pengainstitut och leverantörer av kontoinformationstjänster omfattas av både NIS2 (som viktiga entiteter) och DORA. Fintechbolag som Klarna, med banklicens, faller under de strängaste kraven. Swish, som ägs av ett konsortium av banker, omfattas indirekt genom sina ägare.

Hur förhåller sig detta till PSD2?

PSD2 (betaltjänstdirektivet) ställer redan krav på säkerhet för betaltjänster. NIS2 och DORA lägger till bredare cybersäkerhetskrav som går utöver betalningstransaktioner. Organisationer som uppfyller PSD2:s säkerhetskrav har en bra grund, men behöver komplettera med incidentrapportering, leveranskedjesäkerhet och ledningsansvar enligt NIS2/DORA.

Vad kostar NIS2/DORA-compliance?

Kostnaderna varierar enormt beroende på nuvarande mognad. Enligt ENISA NIS Investments 2023 uppskattar europeiska finansinstitut den genomsnittliga kostnadsökningen till 12-15 procent av befintlig cybersäkerhetsbudget. För ett medelstort svenskt finansbolag kan det innebära 2-5 miljoner kronor i engångskostnader och löpande höjda driftskostnader.

Slutsats: Dubbla regelverk, en strategi

Svenska banker och försäkringsbolag möter en komplex regelverksmiljö med NIS2 och DORA. Den goda nyheten är att regelverken i hög grad överlappar. En organisation som bygger sitt program kring DORA:s mer detaljerade krav uppfyller sannolikt NIS2 på köpet. Nyckeln är att inte behandla detta som separata projekt.

Med 58 procent fler cyberattacker mot europeiska finansinstitut sedan 2020 (ECB, 2024) är regleringen ett svar på en verklig hotbild. De finansbolag som ser NIS2 och DORA som en möjlighet att stärka sin faktiska motståndskraft, snarare än en compliance-övning, kommer att stå starkast.

Fullständig NIS2-guide

NIS2 för energisektorn

NIS2 för kommuner och regioner

Av Fredrik Karlsson, Group COO & CISO